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Re, 


摘要 : 

[目的 ] 为 响应 学 术 界 和 工业 界 对 于 科学 的 恶意 代码 分 类 方法 的 需求 ， 

[方法 ] 本 研究 基于 现 有 工作 基础 ， 借 鉴 了 卡巴 斯 基 相 对 严谨 的 多 段 式 分 类 命名 的 优点 ， 按 
照 强 调 互 斥 、 完 整 覆 盖 、 收 敛 的 思路 开展 ， 并 与 “威胁 风险 行为 标签 ”组 合 运用 ， 
[结果 ] 形成 了 一 套 符合 MECE 原则 、 分 类 收敛 、 兼 容 工业 界 事实 分 类 的 恶意 代码 分 类 框架 ， 
[结论 ] 能 够 有 效 支 撑 安全 防御 与 治理 。 
关键 词 : 恶意 代码 ” 分 类 方法 ” 威胁 行为 ”风险 标签 ”工程 基础 
分 类 号 : TP309.5 
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Abstract: 

[Objective] In response to the demand from academia and industry for a scientific 
classification of malware, 

[Methods] this study builds upon existing work and draws insights from Kaspersky s 
rigorously multi-stage naming methodology, emphasizing the principles of mutual 
exclusivity, comprehensive coverage, and convergence, combines the use of “threat 
risk behavior labels”, 

[Results]. forms a classification framework for malware that conforms to the MECE 
(Mutually Exclusive, Collectively Exhaustive) principle, achieves convergence, is 
compatible with real-world industry classifications, 

[Conclusions] provides effectively support on security defense and governance 
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1 背景 


1991 年 的 CARO 会 议 葛 定 了 关于 计算 机 病毒 命名 的 初始 行业 共识 原则 ， 提 出 
了 最 初 的 四 段 式 命名 法 则 ， 业 内 称 之 为 “CAR0 公约 ”器 。 当 时 个 人 计算 机 系统 环 
谤 以 DOS 系统 为 主导 , 没有 广泛 的 网 络 链接 ， 磁 盘 拷贝 是 软件 安装 和 数据 交换 的 
主要 介质 , 所 以 感染 式 病毒 是 彼 时 主要 的 威胁 形态 , 其 家 族 和 变种 总 数 当 时 也 是 
在 千 数量 级 。 而 此 后 伴随 着 全 球 信 息 高 速 公路 建设 、 互 联网 应 用 的 快速 发 展 、 虚 
拟 和 电子 资产 的 不 断 增值 ， 传 统 感染 式 病毒 在 恶意 代码 的 全 貌 中 己 经 不 再 是 主 
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流 。 网 络 蠕虫 .特洛伊 木马 等 恶意 代码 的 类 型 先后 成 为 恶意 代码 风险 的 主流 类 
并 不 断 出 现 各 种 新 兴 的 风险 和 模糊 地 带 , 而 恶 
以 千 万 计 。 几乎 所 有 复杂 的 和 规模 化 的 攻击 行动 都 依赖 恶意 代码 的 投放 和 执行 
因此 ， 在 安全 能 力 频 谱 中 ， 恶 意 代 码 的 发 现 、 检 出 、 精确 命名 等 能 力 无 疑 是 
0 在 安全 防护 和 运营 实践 中 ， 反 病毒 引擎 和 其 他 检测 机 理 对 
Ba 并 触发 相关 的 清除 、 隔 离 、 拒 止 等 动作 ， 是 最 基本 的 安全 
能 力 。 意 代码 检 出 需要 转化 为 个 明确 的 告警 提示 信息 和 处 置 结果 反馈 ， 对 梨 
| 于 显示; 对 企业 级 别 AV、EPP 或 EDR 的 管 
理 界面 在 事件 清单 和 TOP 统计 中 显示 ; 相关 日 志 i 
0 这 就 使 恶意 代码 检 出 事件 既 要 有 包括 时 间 戳 、 对 象 、 是 否 发 现 恶 意 代 
意 代码 名 称 、 处 理 结果 这 样 的 标准 结构 与 此 同时 ， 也 需要 有 规范 统一 而 
0 意 代码 命名 。 网 络 管理 者 需要 借助 相关 命名 检索 关联 信息 判 
断 风险 ， ns XDR 等 平台 需要 借助 相关 命名 进行 关联 分 析 和 风险 优先 级 
排序 。 
这 些 工 作 导 致 恶意 代码 命名 的 质量 变 得 日 趋 重 要 ， 回 看 CARO 公约 ， 就 会 发 
现 其 即 留 下 了 精确 分 段 命名 的 遗产 ， 但 也 留 下 缺失 “分 类 ”概念 的 遗憾 。 由 于 恶 
ee 种 带 有 大 量 约定 俗称 的 “习惯 ”而 非 “ 范 式 ” 的 
标准 ， 其 重点 是 对 应 到 恶意 代码 家 族 的 个 性 化 ,因此 其 对 关联 信息 的 揭示 度 往往 
是 不 足 的 。 些 信 息 提 供 恶 意 代码 的 
共性 “属性 ”， 以 增加 对 用 户 和 IT 运营 人 员 的 信息 辅助 支撑 。 放 到 社会 层面 的 
安全 预警 ,态势 分 析 和 应 急 响 应 工作 中 , 监管 和 应 急 部 门 需要 超越 恶意 代码 家 族 
和 变种 的 统计 “维度 ”， 来 分 析 安 全 威胁 的 一 些 整体 趋势 和 规律 。 因 此 ， 无 论 是 
半 们 全 时 交 入 时 ee 
意 代码 作为 一 种 资源 进行 学 术 和 科研 工作 , 都 需要 更 科学 和 清晰 的 分 类 标准 
ee 
对 更 科学 的 恶意 代码 分 类 方法 ， 学 术 界 和 工业 界 都 进行 了 长 期 探索 开展 了 
大 量 的 实践 。 2004 年 ， 卡 巴 斯 基 实验 室 提 出 了 基于 “分 类 树 ” 的 恶意 软件 分 类 
系统 , 以 恶意 代码 在 主机 上 的 行为 作为 主要 依据 , 并 遵循 行为 风险 等 级 优先 原则 ， 
实现 了 分 类 互 斥 P; 赛 门 铁 殉 、 和 微软、 趋势 等 反 病 毒 厂 商 也 形成 了 各 自 的 恶意 代 
码 分 类 方式 ， 虽 然 几 乎 所 有 主流 厂商 都 承认 “病毒 ”、“ 蠕 虫 ”、 “木马 ”三 大 
基础 类 别 的 存在 ， 但 对 三 者 的 定义 和 类 别 优先 级 本 身 也 有 一 定 差异 B45， 美国 
计算 机 应 急 小 组 领导 开展 的 恶意 代码 类 型 枚 举 工 作 (CME〉， 以 及 MITRE 公司 主 
导 的 恶意 软件 属性 枚 举 和 特征 化 工作 (MAEC) 在 推动 业内 共识 、 促 进 安全 设备 之 
间 的 协调 方面 进行 了 积极 努力 四 。 但 事实 上 ， 面 对 恶意 代码 的 快速 膀 胀 ， 试 图 统 
一 命名 带 有 着 不 切实 际 的 幻想 性 。 由 于 缺乏 明确 的 分 类 依据 ， 安 全 厂商 、 团 队 和 
机 构 ， 相 对 随意 地 添加 新 的 分 类 ， 而 一 些 新 兴 的 厂商 为 了 创造 商业 细 分 ， 更 是 进 
行 了 一 些 概念 创造 ， 导 致 各 厂商 在 分 类 这 一 本 身 具 有 应 共性 属性 的 问题 上 , 不断 
差异 化 和 分 又 。 以 微软 为 例 ， 截 至 目前 ， 其 基础 恶意 代码 分 类 已 达到 31 种 之 多 。 
但 我 们 必须 指出 ， 恶 意 代 码 分 类 不 存在 “算法 解 ”。 尽 管 我 们 看 到 了 诸多 的 研究 
文献 的 党 试 ， 各 种 基于 贝 叶 斯 、 近 邻 计算 、 图 计算 来 设计 所 谓 “ 分 类 算法 ”， 其 
分 类 的 颗粒 度 其 实 对 应 的 都 是 工业 界 的 对 恶意 代码 的 家 族 概念 ， 而 不 是 分 类 概 
念 。 同 时 如 果 没 有 “工程 第 ” 来 进行 辅助 ， 几乎 所 有 的 基于 “”、 深度 学 习 的 
算法 ,都 无 法 应 对 工业 界 真 实 的 挑战 一 一 即 在 以 百 亿 级 别 基础 为 全 集 存量 ,以 百 
万 为 日 增 量 的 样本 空间 数据 基数 下 算法 的 可 用 性 。 


由 于 恶意 代码 对 抗 的 基本 运营 活动 是 围绕 着 工业 界 的 捕获 、 自 动 化 加 人 工分 
析 、 规 则 提取 、 引 擎 和 病毒 库 升 级 展开 的 ， 对 海量 样本 和 分 析 基 础 设施 的 持续 建 
设 与 掌控 ， 导 致 工业 界 一 直 掌 握 着 事实 标准 ， 而 且 每 个 主流 厂商 对 恶意 代码 命名 
与 分 类 都 有 自己 的 经 验 和 内 部 规范 视角 。 从 整体 来 看 , 在 样本 分 类 命名 风格 与 规 
范 上 ， 已 经 形成 了 几 个 风格 鲜明 的 “流派 ”。 一 是 以 McAfee、Symantec 等 美国 
主流 厂商 为 代表 的 “家 族 派 ”， 其 更 多 继承 了 CARO 公约 的 原始 风格 ， 恶 意 代 码 
多 段 命名 结构 中 , 没有 统一 的 “分 类 ”, 只 补充 了 类 似 W32 这 样 的 运行 环境 信息 ， 
并 添加 了 少量 的 关键 行为 后 级 ， 如 @mm。 其 命名 的 可 理解 性 、 信 息 揭 示 度 较 差 。 
二 是 以 Microsoft 为 代表 的 “流行 派 ”。 由 于 微软 作为 安全 领域 的 新 生 关 键 力 量 ， 
没有 必须 兼容 历史 命名 规范 的 包容 。 因 此 其 恶意 代码 命名 方法 主要 以 流行 的 威胁 
类 型 作为 分 类 标准 ， 主 要 覆盖 indows 平台 的 威胁 类 型 。 其 视角 过 于 从 微软 作为 
操作 系统 和 应 用 厂商 的 客户 场景 和 运营 情况 出 发 ， 难 以 覆盖 全 量 的 恶意 代码 体 
系 。 三 是 以 Kaspersky、Bitdefender 等 东欧 主流 厂商 为 代表 的 “行为 派 ”， 访 
派 的 恶意 代码 命名 方法 主要 是 基于 恶意 代码 的 特定 行为 来 支撑 分 类 , 并 相对 严格 
地 遵守 “分 类 前 级 ”、“ 环 境 前 级 ”、“ 家 族 ”、“ 变 种 号 ”的 四 段 式 命名 结构 。 
其 结构 性 和 清晰 性 显著 更 好 。 但 分 类 扩展 没有 明确 标准 ， 随 意 添加 ， 其 最 多 时 分 
类 前 级 多 达 近 百 个 。 不 仅 Virus、Worm、Trojan 这 经 典 的 三 大 基础 分 类 之 中 出 现 
了 类 似 P2P-Worm、Email-Wornm 等 二 十 余 个 作为 一 级 前 级 的 “ 子 类 ”， 而 且 也 不 
断 的 产生 类 似 Backdoor、Rootkit、AdWare、PornWare 这 些 新 的 “一 级 分 类 前 级 ”。 
虽然 在 卡巴 斯 基 的 威胁 年 报 和 安全 博客 统计 口径 来 看 , 其 事实 上 进行 了 一 定 的 分 
类 整合 与 收敛 ， 展 示 出 卡巴 斯 基 在 根据 新 的 安全 威胁 和 攻击 趋势 也 在 尝试 调整 
自身 的 恶意 代码 行为 分 类 方法 ， 但 始终 没有 落实 到 引擎 输出 的 告警 信息 上 。 

安 天 和 合作 研究 者 在 分 类 命名 上 借鉴 了 卡巴 斯 基 相 对 严谨 的 多 段 式 分 类 命 
名 的 优点 ， 但 更 强调 按照 互 斥 、 收 和 敛 的 分 类 思路 开展 分 类 命名 ， 在 《 安 天 实验 室 
恶意 代码 分 类 标准 (2015) 》 中 ， 安 天 尝试 提出 了 八 种 类 型 的 分 类 法 ， 整 体 上 提 
出 了 基于 Trojan 分 类 吸收 所 有 无 主动 自我 传播 能 力 的 高 风险 样本 分 类 ， 并 特别 
提出 将 TestFile 和 JunkFile 作为 两 个 独立 分 类 。 形 成 了 一 套 对 全 量 样本 集合 具 
备 互 斥 性 和 完整 履 盖 性 的 分 类 框架 , 并 结合 了 恶意 代码 核心 行为 及 优先 级 的 命名 
规范 ， 能 够 有 效 覆 盖 所 有 恶意 代码 样本 。 

基于 这 些 工 作 基 础 ， 本 文 研 究 者 希望 明确 提出 一 套 分 类 规范 ， 并 与 “威胁 风 
险 行为 标签 ”组 合 运 用 ， 其 可 以 和 CARO 公约 的 命名 惯例 和 事实 标准 组 合 运用 形 
成 一 套 新 的 分 类 命名 逻辑 。 我 们 所 遵守 的 工作 原则 和 目标 包括 : 

1、 分 类 方法 符合 MECE Mutually Exclusive Collectively Exhaustive) 原 
则 。 按 照相 互 排斥 ， 完 全 穷尽 的 标准 ， 该 分 类 方法 应 能 履 盖 恶意 代码 样本 ， 但 同 
时 也 能 将 每 个 样本 互 斥 归属 于 一 个 独立 的 分 类 空间 之 中 。 

2、 分 类 数量 整体 收 钱 ,分 类 间 有 明确 的 、 融 有 唯一 性 条 件 的 分 类 依据 。 

3、 兼容 目前 工业 界 的 事实 检 出 结果 ， 能 对 多 数 有 严格 分 类 命名 规范 主流 厂 
商 的 告警 信息 实现 整合 与 转化 。 

4、 能 够 有 效 支 撑 防 护 场 景 需求 、 威 胁 情报 共享 、 风 险 预 警 通报 、 司 法 取证 
和 量 裁 等 工作 。 


2 SCMP 分 类 法 的 形成 过 程 


2.1 基础 分 类 : 延续 经 典 分 类 规范 
按照 复制 传播 方式 这 一 基础 维度 ， 恶 意 代 码 的 三 个 最 基础 分 类 为 : 


1、 感 染 式 病毒 : 具有 感染 宿主 属性 ， 借 助人 宿主 来 进行 复制 传播 ; 
2、 里 虫 : 不 感染 和 宿主， 自身 可 以 进行 复制 传播 ; 
3、 木 马 : 不 具备 主动 感染 传播 属性 ， 也 不 进行 自我 复制 。 
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表 1 恶意 代码 基本 分 类 表 


感染 式 病毒 蠕虫 木马 
自主 感染 宿主 是 否 人 否 
日 我 复制 是 是 从 
侵害 系统 是 是 是 


上 述 三 个 分 类 形成 了 基于 同一 维度 的 基础 分 类 ， 是 恶意 代码 分 类 的 基础 范 
式 。 从 事实 来 看 上 , 类 似 Emotet、Ryuk 等 恶意 代码 都 同时 有 具备 既 能 感染 PE 文件 、 
又 能 基于 网 络 传播 。 显 然 这 些 样本 其 同时 具备 着 感染 式 病毒 和 蠕虫 的 双重 属性 。 

因此 我 们 在 推荐 分 类 命名 的 工作 中 ， 补 充 了 两 条 工作 原则 : 

工作 原则 之 一 : 设 定 所 有 分 类 具有 不 同 的 分 类 优先 级 别 ， 对 有 跨 分 类 属性 的 
恶意 代码 样本 ， 使 用 分 类 级 别 更 高 的 分 类 。 

工作 原则 之 二 : 在 样本 命名 中 引入 标签 机 制 ， 来 提升 命名 的 信息 输出 价值 。 
在 一 个 命名 结构 中 可 有 多 个 标签 。 

当 亚 意 代 码 有 超出 本 分 类 特性 的 其 他 关键 威胁 行为 时 ， 则 使 用 更 细 粒 度 的 行 
为 标签 进行 标识 ， 以 便 在 满足 一 维 分 类 要 求 的 前 提 下 ， 提 供 多 元 知识 结构 ， 避 免 
遗漏 信息 。 

2.2 分 类 补充 和 扩展 过 程 
超出 Virus、Worm 和 Trojan 三 个 基本 分 类 的 其 他 分 类 扩展 过 程 ， 本 身 是 
对 应 着 本 文 研 究 者 所 面 对 原 有 分 类 不 能 包含 的 一 些 威胁 的 研究 过 程 。 
(1) 依托 运行 的 位 置 扩展 出 “黑客 工具 ”分 类 

恶意 代码 的 传统 观察 视角 是 收敛 于 被 攻击 主机 场景 的 ， 即 围绕 恶意 代码 
向 被 攻击 对 象 的 扩散 、 传 播 、 投 放 与 执行 ， 以 及 执行 后 的 衍生 物 。 从 上 世纪 末 开 
始 ， 类 似 00B 和 SMBDIE 攻击 中 的 发 包 器 等 工具 开始 广泛 被 攻击 使 用 ， 由 于 其 并 
不 影响 所 运行 的 主机 环境 安全 ， 而 是 影响 接收 侧 主机 的 系统 。 并 不 能 被 包含 在 恶 
意 代码 的 传统 分 类 范围 内 。 但 在 安全 事件 响应 和 取证 中 ， 又 必须 要 能 发 现 这 些 工 
有 具 。 因 此 ,我们 以 运行 位 置 为 一 个 新 的 区 分 度 ， 进 行 了 第 一 次 基础 扩展 。 将 运行 
在 攻击 者 主机 上 ， 且 本 身 不 有 具备 破坏 当前 运行 主机 的 完整 性 、 可 用 性 、 机 密 性 的 
能 力 的 工具 涵盖 在 内 【和 否则 束 应 该 将 其 归 类 为 感染 式 病 毒 、 蠕 虫 或 木马 中 的 一 
类 ) 。 

(2) 依托 弱 侵 害 风险 ， 扩 展 出 “灰色 软件 ”分 类 

传统 的 恶意 代码 和 黑客 工具 ， 通 常 对 应 着 网 络 犯罪 活动 或 者 出 现 于 带 有 
国家 和 地 区 背景 的 APT 入 侵 行 为 。 但 在 实际 的 网 络 行为 活动 中 , 还 有 一 些 软 件 和 
工具 用 于 达成 一 些 弱 侵害 行为 ,例如 广告 软件 、 色 情 软件 、 流 氓 软件 等 。 而 我 们 
提出 了 用 灰色 软件 涵盖 这 一 类 别 ， 其 大 部 分 是 互联 网 投放 的 广告 衍生 物 ， 可 能 
伴随 着 相关 的 软件 下 载 而 来 。 有 部 分 杀毒 厂商 针对 类 似 样本 对 象 使 用 了 “PUA 
(Potentially Unwanted Application) ， 即 潜在 有 害 应 用 程序 。 由 于 分 类 会 直 
接 表 现 为 一 级 前 级 ,因此 是 网 络 管理 者 非常 关注 的 事件 焦点 ,灰色 软件 尽管 有 很 
多 “行为 亚 型 ”， 导 致 部 分 严格 分 类 的 厂商 一 级 前 缀 严重 膨胀 ， 但 其 整体 上 处 于 
低 风 险 区 ， 如 果 任 其 一 级 前 级 泛滥 ,就 会 导致 低 风险 威胁 一 级 前 级 在 整体 一 级 前 
级 中 形成 压倒 性 占 比 ， 导 致 注意 力 资源 失衡 。 将 其 统一 收敛 到 一 个 大 分 类 ， 是 为 


了 从 告警 名 称 上 , 整体 上 降低 对 用 户 和 网 络 管理 运营 人 员 的 干扰 和 恐慌 感 ， 也 降 
人 
(3) 依托 非 恶 意 编 写 目 的 带 来 的 不 确定 性 风险 性 ， 扩 展 出 “风险 软件 ”分 


类 


恶意 代码 这 一 名 词 的 基本 要 由 其 实在 于 “恶意 ”， 即 其 编写 者 为 达成 对 
言 息 系统 的 完整 性 、 可 用 性 、 机 密 性 等 进行 侵害 的 目的 。 这 就 使 在 恶意 代码 的 概 
念 边界 中 , 无 法 定义 以 下 情况 : 由 合法 的 机 构 组 织 和 个 人 编写 ， 是 以 支撑 实际 系 
统 功 能 和 业务 为 编写 目的 和 实际 应 用 , 但 有 可 能 被 攻击 者 作为 攻击 投放 物 来 使 用 
的 情况 。 这 就 会 出 现 相 关 软 件 工具 在 多 数 场景 环境 中 是 一 种 正常 应 用 程序 , 但 在 
少数 场景 中 是 一 种 达成 恶意 目的 工具 的 情况 。 基 于 这 种 情况 ,我 们 认为 需要 对 恶 
意 软 件 的 整个 概念 范围 进行 外 延 ， 增 加 “风险 软件 (Riskware) ”这 一 类 别 。 例 
如 从 2002 年 前 后 的 安全 响应 处 置 中 ， 我 们 过 到 了 大 量 的 将 合法 远程 网 管 工具 作 
为 远 控 木 马 使 用 的 场景 ， 比 如 ， 开 源 网 管 软件 VNC 远程 管理 软件 ) 就 是 典型 的 
风险 软件 。Riskware I 
者 部 署 安装 来 做 出 判断 。 同 时 ， 对 Riskware 的 分 类 告警 ， 反 病毒 软件 采取 告 
提示 后 等 待 使 用 者 和 管理 员 处 置 的 方式 ， 避 免 误 杀 正 常 应 用 。 

(4) 依托 测试 机 构 编写 的 用 户 自 检 有 效 性 样本 ， 扩 展 出 “测试 文件 ”分 类 

我 们 遇 到 的 另 一 个 分 类 问题 是 如 何 对 “EICAR” 进 行 分 类 标识 ，EICAR 是 
欧洲 反 计 算 机 病毒 协会 (European Institute for Computer Antivirus Research) 
创建 的 一 种 标准 测试 文件 ， 用 于 合法 地 测试 和 验证 防 病毒 软件 和 其 他 安全 产品 。 


[7] 


通过 明确 区 分 实际 的 恶 车 代码 和 测试 范例 ， 得 出 “测试 文件 ”这 一 独立 分 类 。 
“测试 文件 ”明确 标定 了 用 于 检测 反 次 毒 引擎 和 安全 防护 产品 的 恶意 代码 ,常见 
于 样本 的 对 抗 性 测试 。 

(5) 针对 无 意义 样本 ， 扩 展 出 “垃圾 文件 ”分 类 

我 们 在 多 次 客户 测试 场景 中 过 到 了 无 效 测试 样本 的 干扰 ， 这 些 无 效 样本 

往往 是 客户 从 网 上 下 载 而 来 , 虽然 号 称 样本 资源 包 , 但 其 中 的 大 量 文件 都 并 不 是 
样本 文件 , 而 是 无 实际 意义 的 三 进 制 乱码 文件 。 为 避免 过 度 陷于 对 客户 样本 质量 
的 讨论 之 中 , 我 们 基于 “报警 和 处 置 掉 相关 样本 不 会 对 系统 带 来 后 果 或 影响 且 有 
其 他 厂商 报警 ”这 一 原则 ， 对 这 类 样本 给 予 了 统一 的 分 类 标识 。 


3 SCMP 分 类 法 分 类 方法 框架 


前 一 章 描述 的 扩展 过 程 初步 形成 了 八 个 恶意 代码 分 类 类 别 ， 以 图 1 所 示 的 方 
法 框架 使 这 一 分 类 标准 成 为 一 个 符合 MECE 原则 的 分 类 准则 。 其 中 ， 引 入 了 威胁 
风险 、 威 胁 分 类 、 区 分 依据 、 SR a a 框 
架 。 框架 整体 分 类 的 对 象 为 : 迄今 为 止 已 经 被 捕获 发 现 且 主流 安全 产品 或 检测 引 
擎 对 其 有 人 


a A eS Pe ee Ce RS OP ee De 


1 1 

测试 文件 ”垃圾 文件 

e) ， (TestFile) | (JunkFile) | 
1 1 1 


有 意义 数据 


1 

hn 侵害 程度 较 弱 ! | 

村 恶意 动机 元 恶意 动机 | 

运行 于 受 侵害 侧 存储 于 测试 例 | 


以 功能 实现 为 目的 2 ”以 测试 为 目的 
1 


图 1 SCMP 恶意 代码 分 类 方法 框架 

此 过 程 通过 七 个 分 类 切割 点 ， 形 成 了 对 恶意 代码 样本 的 八 个 分 类 : 

1. 第 一 层 区 分 依据 是 : 该 样本 是 否 是 有 意义 的 数据 一 一 将 不 具备 功能 或 有 效 
意义 数据 的 文件 标定 为 垃圾 文件 ; 

2. 第 二 层 区 分 依据 是 : 该 样本 的 构造 目的 是 为 了 在 用 户 场景 中 测试 验证 还 是 
为 了 达成 功能 实现 一 一 将 以 测试 验证 为 目的 所 形成 的 样本 文件 划 定 为 测试 文件 ; 

3. 第 三 层 区 分 依据 是 : 样本 所 运行 的 实际 位 置 一 一 将 运行 于 攻击 侧 、 并 不 运 
行 于 受 侵害 端的 样本 划 定 为 黑客 工具 ; 

4. 第 四 层 区 分 依据 是 : 动机 的 恶意 性 一 一 将 无 恶意 动机 、 用 来 执行 正常 的 业 
务 功能 和 逻辑 、 但 可 能 被 攻击 者 使 用 带 来 风险 的 样本 划 定 为 风险 软件 ; 

5. 第 五 层 区 分 依据 是 : 基于 侵害 程度 的 区 隔 ， 即 犯罪 和 违法 行为 的 区 隔 。 将 
侵害 程度 较 弱 、 侵 害 后 果 不 构 成 犯罪 但 可 能 违法 的 样本 划分 为 灰色 软件 ; 

6. 第 六 层 区 分 依据 是 : 在 侵害 性 较 强 且 运 行 于 受害 主机 的 对 象 中 ， 依 托 能 否 
实现 自我 传播 进行 区 隔 一 一 将 侵害 程度 较 强 且 不 具备 自主 复制 传播 能 力 的 样本 
划分 为 木马 ; 

7. 第 七 层 区 分 依据 是 : 在 有 自主 传播 能 力 的 样本 中 ， 将 不 依赖 感染 宿主 、 可 
实现 自我 复制 传播 的 样本 划 定 为 蠕虫 ， 将 依赖 宿主 传播 的 样本 划分 为 感染 式 病 
圩 


此 分 类 标准 完整 覆盖 了 现 有 的 全 量 恶 意 代 码 样本 ， 满 足 了 分 类 的 互 斥 性 条 
件 ， 同 时 也 与 其 他 维度 建立 了 较为 完整 的 映射 。 

例如 ， 对 编写 者 的 映射 : 感染 式 病毒 、 蠕 虫 、 木 马 和 黑客 工具 所 对 应 的 编写 
者 为 攻击 组 织 、 个 人 和 攻击 赋 能 者 ; 灰色 软件 和 风险 软件 的 编写 者 对 应 到 软件 三 
商 及 开发 者 , 测试 文件 的 编写 者 对 应 到 测试 机 构 ， 由 于 垃圾 文件 成 因 复 杂 且 没有 
特定 编写 者 ， 因 此 不 对 应 到 任何 主体 。 

再 如 ， 对 威胁 风险 的 映射 。 因 为 感染 式 病毒 、 蜂 虫 、 木 马 运 行 在 被 侵害 主机 
上 ， 因 此 其 风险 程度 为 “强直 接 风 险 区 ”; 黑客 工具 运行 在 攻击 者 或 被 攻击 者 控 
制 的 终端 上 ， 对 本 身 的 运行 环境 无 影响 ， 因 此 其 属于 “ 强 关 联 风险 区 ”， 而 灰色 
软件 的 侵害 较 弱 ， 属 于 “ 弱 风 险 区 ”， 风 险 软件 由 于 在 多 数 场景 下 为 正常 软件 ， 
在 少数 情况 下 被 用 于 攻击 ， 属 于 “ 非 确定 风险 区 ”; 而 测试 文件 和 垃圾 文件 既 不 
运行 ， 又 不 造成 实质 影响 ， 属 于 “无 风险 区 ”。 


对 比 整 个 框架 切割 点 的 生效 顺序 以 及 前 置 章节 中 分 类 的 扩展 顺序 ， 可 以 看 
到 , 分 类 切割 的 顺序 基本 是 扩展 分 类 的 逆 过 程 , 这 也 说 明了 该 分 类 方法 本 身 是 经 
历 了 威胁 对 抗 和 安全 运营 工作 的 实战 检验 的 。 


4 SCMP 的 八 个 基础 分 类 


依据 SCMP 分 类 方法 框架 ,恶意 代码 包含 如 下 八 个 基础 分 类 , 在 制定 各 分 类 的 
英文 名 称 时 ， 我 们 借鉴 了 帕斯卡 命名 法 (Pascal case) 的 相关 规 东 6。 
4.1 感染 式 病 毒 (Virus) 
定义 : 感染 式 病毒 是 一 类 以 感染 宿主 的 方式 完成 自我 传播 的 恶意 代码 。 

分 类 优先 级 : 0〈 最 高 ) 。 

说 明 : 感染 式 病 毒 的 宿主 包括 不 限于 : 磁盘 文件 、 引 导 扇 区 及 其 它 能 达成 

恶意 代码 自我 传播 方式 的 载体 。 感染 式 病毒 是 恶意 代码 的 初始 主流 形态 ,其 核心 
特性 在 于 : 具有 自我 复制 的 特点 ， 且 其 自我 复制 需要 依赖 于 宿主 。 
由 于 感染 宿主 是 一 种 破坏 了 系统 基础 运行 环境 和 基本 运行 2 (程序 ) 完 
整 性 的 行为 ,因此 感染 式 病毒 的 分 类 属性 应 作为 最 优先 属性 , 所 有 恶意 代码 只 要 
具备 主动 感染 宿主 且 借 助 宿主 进行 传播 的 属性 ,无 t 全 其 有 何 种 其 他 行为 ， 都 应 该 
划分 入 感染 式 病毒 这 一 分 类 。 

特别 情况 和 例外 清单 : 由 于 历史 原因 ， 一 些 并 不 具备 感染 式 能 力也 被 安全 
厂商 被 添加 了 Virus 这 一 分 类 前 级 ， 例 如 DOs 时 代 大 量 的 COM、DOS_MZ 和 BAT 
格式 的 样本 。 一 些 厂商 的 命名 前 级 中 包含 Macro Virus， 仍 归属 感染 式 范 畴 。 与 
此 同时 ， 木马 捆绑 器 (Binder ) 尽管 有 类 感染 行为 , 但 第 一 其 是 多 数 服务 于 投放 
过 程 ， 而 不 是 在 攻击 场景 内 实现 持久 化 ， 第 二 ， 其 本 身 多 数 并 不 破坏 被 捆绑 程序 
本 身 的 完整 性 ， 而 是 添加 了 独立 的 文件 头 。 所 以 其 依然 被 划 定 到 木马 类 别 。 

4.2 蠕虫 (Worm) 
定义 : 蠕虫 是 一 类 不 借助 宿主 即 可 独立 完成 自主 传播 的 恶意 代码 。 其 自我 
复制 的 方式 包括 基于 存储 介质 和 网 络 方式 。 

分 类 优先 级 : 1。 

说 明 : 蠕虫 通常 可 以 利用 系统 或 软件 漏洞 、 邮 件 、 即 时 通信 、 文 件 共享 、 
社交 网 络 、 网 络 共 享 或 可 移动 存储 设备 进行 传播 扩散 ， 有 些 蠕虫 以 网 络 数据 包 的 
形式 传播 。 其 核心 特性 在 于 : 具有 自我 复制 传播 的 特点 且 不 依赖 感染 宿主 。 

特别 情况 和 例外 清单 : 对 于 通过 蠕虫 框架 进行 投放 的 其 他 恶意 代码 部 件 和 
组 件 , 如 其 不 是 其 他 已 被 命名 的 恶意 代码 , 原则 上 应 作为 该 种 蠕虫 的 组 件 或 样本 。 
4.3 ”特洛伊 木马 《Trojan) 
定义 : 特洛伊 木马 是 一 类 以 严重 侵害 运行 系统 的 可 用 性 、 完 整 性 、 保 密 性 
为 目的 ， 或 运行 后 能 达到 同类 效果 的 恶意 代码 。 

分 类 优先 级 : 2。 

说 明 : 尽管 木马 与 黑客 工具 的 编写 目的 一 致 , 但 木马 是 运行 在 受害 主机 中 。 
其 核心 特性 在 于 运行 于 受害 者 环境 中 ， 构 成 强 威 胁 风险 。 

特别 情况 和 例外 清单 : 安全 厂商 对 于 许多 具备 强风 险 的 威胁 有 许多 分 类 前 
级， 例如 勒索 软件 (Ransomware ) 、 挖 矿 软件 (Miner) 和 后 门 (Backdoor) 等 
这 些 分 类 不 具备 自主 传播 能 力 , 但 又 具备 强 恶 意 动 机 、 具 备 较 强 侵 害 程度 。 此 类 
威胁 可 以 归 为 特洛伊 木马 范畴 。 
4.4 黑客 工具 (HackToo1) 


We 


所 


定义 : 黑客 工具 是 一 类 指 为 达成 破坏 计算 机 的 可 用 性 、 完 整 性 、 保 密 性 为 
目标 来 编号， 但 运行 在 攻击 方 一 人 出、 起 到 辅助 攻击 作用 的 恶意 代码 。 

说 明 : 尽管 黑客 工具 与 木马 的 编写 目的 一 致 ， 但 黑客 工具 的 运行 对 于 当前 
环境 主机 不 构成 相应 的 威胁 风险 。 

特别 情况 和 例外 清单 : 远 控 工具 的 控制 端 符合 我 们 对 于 黑客 工具 的 定义 ， 
但 由 于 其 生效 过 程 需 要 和 受 控 端 之 间 在 命名 上 形成 映射 关系 , 因此 其 通常 被 划分 
到 木马 类 别 ， 同 时 用 “Backdoor ”和 “Client” 两 个 行为 标签 作为 修饰 。 
4.5 灰色 软件 (Grayware) 
定义 : 灰色 软件 是 一 类 在 受 侵害 主机 上 运行 、 占 据 被 侵害 主机 的 资源 、 可 
能 带 来 主机 和 用 户 信息 泄露 ， 但 不 足以 构成 重大 风险 的 软件 或 插件 。 

说 明 : 灰色 软件 和 木马 的 关键 区 别 如 下 : 1) 在 编写 目的 上 ， 木 马 是 出 于 
纯粹 的 侵害 目的 进行 编写 ,灰色 软件 在 侵害 性 质 的 功能 之 外 , 也 可 能 包含 了 部 分 
用 户 需 要 的 功能 ; 2) 在 侵害 行为 上 ， 木 马 窃取 的 是 用 户 相 对 较为 关键 性 的 信息 ， 
收集 环境 信息 是 为 了 帮助 攻击 者 采取 一 步 的 攻击 行动 , 而 灰色 软件 收集 信息 的 目 
的 是 为 了 进行 用 户 画 像 、 广 告 弹 窗 以 及 其 他 轻 量 级 的 牟利 变现 。3) 从 组 织 上 ， 
木马 通常 是 由 攻击 组 织 、 犯 罪 团 体 和 个 人 发 布 的 , 而 灰色 软件 通常 由 合法 的 厂商 
及 开发 者 进行 编写 发 布 ，4) 从 侵害 定性 上 ， 编 写 木 马 属于 犯罪 行为 ， 编 写 灰 色 
软件 通常 属于 违法 行为 。 
特别 情况 和 例外 清单 : 安全 厂商 对 于 轻 量 级 威胁 的 许多 分 类 前 经， 例如 广 
告 软件 CAdware) 、 色 情 软 件 (Pornware) ， 实 际 上 都 可 以 划 入 灰色 软件 范畴 。 
4.6 风险 软件 (Riskware) 
定义 : 风险 软件 是 为 了 实现 某 些 确定 的 计算 机 业务 功能 而 编写 的 程序 ， 虽 
然 不 是 为 了 恶意 目的 而 编写 ， 但 有 可 能 在 攻击 场景 下 转化 为 攻击 工具 。 即 : 其 本 
身 的 安全 风险 与 “ 谁 安装 或 投放 ”、“ 用 于 什么 目的 ”相关 ， 而 与 发 布 目 的 无 关 。 

说 明 : 典型 风险 软件 如 商用 远程 工具 ， 如 PcAnywhere、VNC 等 ， 这 些 软件 
在 正常 使 用 过 程 中 会 在 计算 机 状态 栏 显示 图 标 , 是 可 以 被 远程 控制 者 感知 到 其 运 
行 的 正常 管理 工具 , 但 也 出 现 过 大 量 将 此 类 工具 作为 远 控 工具 来 实施 攻击 活动 的 
案例 。 

特别 情况 和 例外 清单 : 在 攻击 事件 捕获 中 ， 如 果 明 确 发 现 了 经 攻击 者 算 改 
后 的 工具 , 则 产品 会 明确 的 将 其 标记 为 特洛伊 木马 。 将 这 些 工 具 以 风险 软件 的 形 
势 进行 告警 ,一 定 程度 上 是 反 病 毒 企 业 的 权宜 之 举 ， 以 保证 既 能 够 发 现 相 关 工具 
被 利用 的 情况 , 又 能 避免 对 用 户 正 常 使 用 的 工具 产生 误 报 以 致 造成 业务 影响 或 产 
生 法 律 责任 等 。 在 一 部 分 反 病 毒 引擎 中 , 对 于 此 类 软件 是 否 报警 会 设置 独立 开关 。 
4.7 测试 文件 (TestFile) 
定义 : 测试 文件 是 指 由 测试 机 构 为 了 让 用 户 能 够 在 自身 的 场景 环境 中 检测 
反 病 毒 软件 是 否 能 正常 工作 而 发 布 的 公开 文档 。 
说 明 : 测试 文件 不 是 指 测试 机 构 用 来 测试 安全 软件 有 效 性 的 文件 ， 而 是 指 
能 够 被 普通 用 户 使 用 、 通 过 简单 安全 的 方式 在 用 户 自身 的 系统 环境 下 对 安全 软件 
进行 自 检 的 文件 。 原 则 上 ， 作 为 测试 工具 的 文件 本 身 应 具备 涵义 ， 且 不 应 是 一 个 
可 以 执行 的 程序 。 
特别 情况 和 例外 清单 : 目前 为 止 ， 明 确 符 合 这 一 标准 的 测试 文件 仅 有 测试 
机 构 发 布 的 eicar， 尽 管 只 有 一 个 文件 ， 但 其 特性 可 以 构成 一 个 独立 分 文 。 
4.8 垃圾 文件 (JunkFile) 


es 


ss 


es 


定义 : 垃圾 文件 是 指 一 些 没 有 实际 执行 能 力 和 数据 意义 、 但 被 部 分 用 户 或 
测试 机 构 当 作 测 试 样本 使 用 的 文件 , 为 了 避免 此 类 文件 对 安全 产品 的 正常 工作 造 
成 干扰 ， 需 要 将 其 作为 一 个 单独 的 分 类 。 

说 明 : 对 正常 的 可 执行 程序 或 数据 文件 的 误 报 和 误 选 , 不 应 作为 告警 依据 。 
尽管 垃圾 文件 事实 上 并 不 符合 恶意 代码 的 定义 , 但 由 于 其 真实 存在 于 反 病 毒 产品 
的 事件 告警 中 , 所 以 需要 作为 特殊 分 类 ,这 一 分 类 的 存在 本 质 上 是 由 于 用 户 和 测 
试 机 构 的 能 力 不 足 或 误 操 作 而 导致 反 病 毒 企业 必须 做 出 的 妥协 。 

特别 情况 和 例外 清单 : 判断 垃圾 文件 的 核心 要 素 是 该 文件 本 身 是 否 具 有 意 
义 。 由 于 反 病 毒 软件 对 感染 式 病毒 查 杀 不 彻底 导致 遗留 的 病毒 残 体 文件 ,也 不 应 
作为 垃圾 文件 ， 而 是 应 按照 恶意 代码 命名 范式 并 添加 crushed 标签 后 进行 存储 。 
5 形式 化 验证 

本 章 通 过 将 恶意 代码 SCMP 分 类 方法 描述 为 一 个 形式 系统 , 并 验证 该 方法 符合 
MECE 原则 。 
5.1 论 域 

本 形式 系统 所 讨论 的 对 象 域 为 : 迄今 为 止 已 经 被 捕获 发 现 且 主流 安全 产品 

或 检测 引擎 对 其 有 命名 输出 的 所 有 对 象 。 


Ss 


5.2 符号 
表 2 SCMP 分 类 方法 形式 系统 符号 
符号 类 型 符号 格式 含义 示例 示例 的 语义 解释 
对 象 符号 ”单个 小 写 英 ” 论 域内 的 单个 xy 一 个 待 分 类 的 恶意 代 
文字 母 对象 码 文件 对 象 
断言 符号 。 首 字 母 大 写 ”断言 Virus (x) 是 一 个 名 为 Virus 
的 英文 单词 的 、 关 于 对 象 x 的 断 
/ 缩 略 词 言 ， 其 解释 为 : x 属 
于 “感染 式 病毒 
(Virus) ”这 一 分 类 
量词 符号 V 符合 命题 的 所 ”VxF (x) 符合 命题 F (x) 的 所 
有 对 象 有 对 象 
逻辑 符号 = 单 向 推导 A->B 当 断 言 A 为 真 时 ，B 
断言 也 为 真 ， 若 A 则 
B。 但 不 能 通过 B 反 推 
A 
逻辑 符号 <-> 双向 推导 A<->B 断言 A 与 断言 B 同 真 
同 假 ， 并 且 可 相互 推 
导 
运算 符号 非 -A 对 断言 A 的 否定 
运算 符号 且 A&B 只 有 当 断 言 A 和 断言 
B 同时 为 真 时 ，A&B 
为 真 
运算 符号 | 或 Al||B 断言 A 和 断言 B 任 一 
为 真 时 ，A| |B 为 真 
运算 符号 | 或 非 AYIBICID 只 有 当 断 言 A、B、C、 


D 均 为 假 时 , AVB1C 


1D 为 真 
标点 符号 [ 优先 运算 [A&B| |C] [ 中 的 项 比 [ ] 外 的 
项 有 更 高 的 运算 优先 
级 。 示 例 中 的 逻辑 运 
算 顺序 依次 为 &、||、 


标点 符号 /* */ 注释 /*sometext*/ ”注释 符号 间 的 文本 为 
注释 说 明 内 容 


5.3 断言 符号 及 语义 
Virus (x) 意 为 : x 属于 “感染 式 病毒 (Virus) ”这 一 分 类 。 
Worm(x) 意 为 : x 属于 “蠕虫 (Worm) ”这 一 分 类 。 
Trojan(x) 意 为 : x 属于 “木马 (Trojan) ”这 一 分 类 。 
HackTool (x) 意 为 : x 属于 “黑客 工具 (HackToo1) ”这 一 分 类 。 


Grayware (x) 意 为 : x 属于 “灰色 软件 (Grayware) ”这 一 分 类 。 
Riskware (x) 意 为 : x 属于 “风险 软件 (Riskware) ”这 一 分 类 。 


X 
X 
X 
X 


TestFile (x) 意 为 : x 属于 “测试 文件 (TestFile) ”这 一 分 类 。 
JunkFile (x) 意 为 : x 属于 “垃圾 文件 (JunkFile) ”这 一 分 类 。 


Nomean (x) 意 为 : x 是 不 具有 功能 或 有 效 意 义 数 据 的 文件 。 

Test (x) 意 为 : x 是 经 权威 测试 机 构 认证 的 、 以 测试 验证 为 目的 所 形成 的 样 
本 文件 。 

Environment (x) 意 为 : x 对 其 当前 所 在 的 运行 环境 产生 侵害 。 

Male (x) 意 为 : x 是 出 于 恶意 动机 构造 、 用 来 执行 恶意 功能 的 文件 。 

Substantive (x) 意 为 : x 可 以 构成 确定 性 的 、 实 质 性 的 侵害 。 

Copy (x) 意 为 : x 具有 自我 复制 的 属性 。 

Inject (x) 意 为 : x 具有 主动 感染 宿主 文件 的 属性 。 

MECE (El1, E2, E3, , , En) 意 为 :由 El1, E2, E3, ,, En 组 成 的 断言 集合 中 ， 有 且 
只 有 一 个 断言 为 真 。 
5.4 公理 

公理 1: Nomean (x)->Test (xX) 4 Environment (x) | Male (x) ! 
Substantive (x) |} Inject (x) | Copy (x) 

Test (x) ||Environment (x) | |Male (x) | |Substantive (x) ||Inject (x) ||Co 
py(x)->-Nomean (x) 

/无 意义 的 文件 不 会 有 任何 行为 判定 点 ， 反 之 如 果 文 件 命中 任意 一 种 判定 
点 都 说 明 其 是 有 意义 的 */ 


\ 


F 


公理 2: Test (x) ->Nomean (x) 1 Environment (x) | Male (x) ! 
Substantive (x) | Inject (x) | Copy (x) 

Environment (x) | |Male (x) | |Substantive (x) | |Inject (x) | |Copy (x) —>-T 
est (x) 

/经 测试 机 构 认 证 的 Testfile 不 具有 实际 的 行为 和 侵害 后 果 ， 如 果 样 本 
有 具有 了 侵害 行为 特点 则 说 明 不 是 Testfilex*/ 


公理 3: Substantive(x)->Male (x) 


/以 非 恶 
以 何 种 方式 被 利用 ) ， 有 确定 性 的 实质 侵害 的 恶意 


恶意 改写 的 */ 


公理 4: 


意 目 的 开发 的 软件 无 法 形成 确 


HH 


/主动 感染 文件 及 自我 复 于 


公理 


ne 


定性 的 威胁 (因为 开发 者 无 法 预知 


人 


代码 ， 


Inject (x) | |Copy (x) ->Environment (x) &Substantive (x) 


I 已 经 对 当前 环境 构成 了 实质 性 的 侵害 */ 


/* 恶 意 代码 分 类 工作 以 现实 世界 已 经 发 生 的 威胁 为 先 验 经 验 ， 


发 且 不 会 对 当前 环境 构成 侵害 的 软件 


名 单 中 ,无 
入 论 域 的 《除了 垃圾 文件 和 测试 文件 是 现实 妥协 以 外 ) ， 要 么 确定 是 


华 哪 种 情 


目的 开发 但 是 有 过 


开发 ， 要 么 是 非 恶 意 
5.5 推理 规则 


Nomean (x) <—>JunkFile (x) 
Test (x) <->TestFile (x) 


[-Nomean (x) ]& 
[-Nomean (x) ]& 
[-Nomean (x) j& 


—>Grayware (x) 


[-Nomean (x) ]& 
nject(x)->Virus (x) 
[-Nomean (x) ]& 
-Inject (x) ]&Copy (x) 
[-Nomean (x) ]& 
”Inject (x) ]&L-Copy(x) ]->Troj 


5.6 MECE 原则 证 明 


证 明 目 标 : 


[Test (x) J 
[Test (x) 
[Test (x) 
[Test (x) 


[Test (x) 


[Test (x) J 


—>Worm (x) 


被 恶 


通常 不 属于 反 病 毒 


一 定 是 经 过 恶意 设计 或 


5: Vx[-Nonean(xz)]&[-Test(x)]->Environment (x) | |Male (x) 


常 目 的 开 


导 工 作 的 范畴 , 或 者 是 在 白 
有 况 都 不 会 使 反 病毒 引 敬 对 其 输出 恶意 代码 命名 ， 因 此 能 够 进 


以 恶意 目的 


意 利 用 形成 侵害 的 先 验 


&[-Environment (x) ]->HackTool (x) 
J&Environment (x)&[“Male (x) | ->Riskware (x) 
J&Environment (x) &Male (x)&[-Substantive (x) ] 


事实 。 */ 


J&Environment (x) &Male (x)&Substantive (x) &I 
J&Environment (x) &Male (x) &Substantive (x)&[ 


&Environment (x) &Male (x) &Substantive (x)&[ 
an (x) 


VxMECE (Virus (x), Worm (x), Trojan (x), HackTool (x), Grayware (x), Riskware 
(x), TestFile (x), JunkFile (x)) 


逻辑 用 例 表 : 
表 3 逻辑 用 例 表 

用 不 具 ”测试 恶意 侵害 确定 主动 ”自我 备注 分 类 结果 

人 网 有意 专用 开发 当前 实质 感染 复制 

编 义 动机 环境 侵害 宿主 

号 

1 1 0 0 0 0 0 0 依据 公理 1, 文件 不 具有 ”垃圾 文件 
意义 时 的 唯一 合法 用 例 

2 0 1 0 0 0 0 0 依据 公理 2, 文件 是 测试 ”测试 文件 
专用 时 的 唯一 合法 用 例 

3 0 0 0 0 0 0 0 依据 公理 5 排除 用 例 

4 0 0 0 0 0 0 1 依据 公理 5 排除 用 例 

5 0 0 0 0 0 1 0 依据 公理 $ 排除 用 例 

6 0 0 0 0 0 1 1 依据 公理 5 排除 用 例 


7 0 0 0 0 0 0 0 依据 公理 $ 排除 用 例 

8 0 0 0 0 0 0 1 依据 公理 5 排除 用 例 

9 0 0 0 0 0 1 0 依据 公理 $ 排除 用 例 

10 0 0 0 0 0 1 1 依据 公理 5 排除 用 例 

11 0 0 0 1 0 0 0 合法 用 例 风险 软件 
12 0 0 0 1 0 0 1 依据 公理 4 排除 用 例 

13 0 0 0 1 0 1 0 依据 公理 4 排除 用 例 

14 0 0 0 1 0 1 1 依据 公理 4 排除 用 例 

15 0 0 0 1 1 0 0 依据 公理 3 排除 用 例 

16 0 0 0 1 1 0 1 依据 公理 3 排除 用 例 

17 0 0 0 1 1 1 0 依据 公理 3 排除 用 例 

18 0 0 0 1 1 1 1 依据 公理 3 排除 用 例 

19 0 0 1 0 0 0 0 合法 用 例 黑客 工具 
20 0 0 1 0 0 0 1 依据 公理 4 排除 用 例 

21 0 0 1 0 0 1 0 依据 公理 4 排除 用 例 

22 0 0 1 0 0 1 1 依据 公理 4 排除 用 例 

23 0 0 1 0 1 0 0 合法 用 例 黑客 工具 
24 0 0 1 0 1 0 1 依据 公理 4 排除 用 例 

25 0 0 1 0 1 1 0 依据 公理 4 排除 用 例 

26 0 0 1 0 1 1 1 依据 公理 4 排除 用 例 

27 0 0 1 1 0 0 0 合法 用 例 灰色 软件 
28 0 0 1 1 0 0 1 依据 公理 4 排除 用 例 

29 0 0 1 1 0 1 0 依据 公理 4 排除 用 例 

30 0 0 1 1 0 1 1 依据 公理 4 排除 用 例 

31 0 0 1 1 1 0 0 合法 用 例 特洛伊 木马 
32 0 0 1 1 1 0 1 合法 用 例 蜂 虫 

33 0 0 1 1 1 1 0 合法 用 例 感染 式 病毒 
34 0 0 1 1 1 1 1 合法 用 例 感染 式 病毒 


6 威胁 行为 风险 标签 的 逻辑 和 概念 


使 用 基于 MECE 的 恶意 代码 分 类 原则 核心 是 希望 满足 分 类 的 覆盖 性 和 互 斥 性 ， 
而 在 另 一 层面 , 由 于 恶意 代码 本 身 功 能 的 复杂 性 和 软件 代码 本 身 具 有 的 弹性 ， 导 
致 不 可 能 用 有 限 、 收 敛 的 分 类 集合 涵盖 恶意 代码 的 所 有 属性 ， 更 无 法 有 效 表现 出 
恶意 代码 的 关键 威胁 信息 。 一 个 恶意 代码 样本 可 能 存在 多 种 威胁 行为 , 所 以 需要 
引入 一 个 支持 多 种 表达 共存 的 形态 结构 ， 且 这 种 表达 有 需要 足够 简洁 。 显然, 将 
其 作为 标签 是 一 种 更 好 的 选择 。 

采用 多 节 式 结构 的 恶意 代码 命名 方式 在 每 一 分 节 上 都 是 基于 互 斥 性 逻辑 。 如 
卡巴 斯 基 的 第 一 节 是 其 恶意 代码 分 类 前 缀 ， 第 二 节 是 环境 前 缀 ,第 三 节 是 家 族 名 
称 , 后 续 内 容 则 是 变种 号 和 其 他 修饰 符 。 其 每 一 节 都 在 树 形 结构 中 完成 对 下 一 分 
文 节 点 的 选择 ， 从 而 达成 相关 的 互 斥 性 。 而 我 们 则 在 样本 命名 中 统一 引入 一 个 风 
险 行为 后 级 域 , 在 该 后 级 中 ， 既 可 以 单一 输出 茶 个 最 高 等 级 的 风险 行为 ,也 可 以 


输出 多 个 带 分 隔 符 的 风险 行为 一 一 前 者 让 使 用 告警 提示 信息 的 相关 方 关注 其 最 
值得 响应 的 行为 风险 ， 后 者 则 有 更 强 的 信息 揭示 度 。 

这 一 基本 工作 思路 是 为 了 在 坚持 检测 日 志 的 二 维 化 的 基础 上 ， 保 证 相关 的 样 
本 命名 和 行为 信息 依然 以 单一 字符 串 的 方式 来 输出 , 同时 也 为 细 粒 度 的 事件 和 知 
识 信息 查询 中 把 样本 的 命名 转化 为 多 维 的 数据 结构 提供 了 基础 。 

在 建立 行为 标签 时 的 基本 考虑 要 素 包 括 : 

SE 
a 欺诈 、 内 核 伪 装 等 ; 

Dx 能 够 用 以 映射 和 消化 主流 安全 软件 ， 在 原 有 的 、 不 符合 MECE 的 标准 体系 
下 所 给 出 的 小 关 别 或 一 级 前 绥 ; 

3、 涵 盖 恶 意 代 码 关 键 行为 的 几 个 维度 ， 如 : 传播 方式 、 攻 击 目的 及 对 象 、 
攻击 技巧 、 隐 蔽 方式 等 。 

安 天 基于 这 套 行为 标签 的 引导 ， 在 静态 分 析 、 动 态 沙 箱 的 开发 过 程 中 形成 了 
对 样本 行为 的 动 、 静 态 的 判断 机 制 , 使 这 些 行为 标签 可 以 在 自动 化 分 析 过 程 中产 
生 ， 并 且 发 给 第 三 方 使 用 。 

对 和 象 行为 标签 的 引入 ， 不 仅 弥 补 了 基于 收敛 分 类 的 方法 信息 揭示 不 足 的 问 
题 ， 也 能 够 基本 上 把 所 有 的 主流 厂商 的 有 效 恶 意 代码 命名 转化 为 基于 基础 分 类 、 
运行 环境 、 家 族 名 、 变 种 号 和 行为 后 级 的 对 应 命名 ; 同时 ， 针 对 同一 样本 ， 不 同 
引擎 能 够 供给 不 同 对 象 信 息 时 ,也 能 将 这 些 信息 转化 为 命名 中 的 有 效 信息 ， 可 以 
支撑 应 急 响 应 组 织 的 尝试 统一 告警 格式 与 风格 的 实践 。 


7 对 现 有 分 类 的 合并 吸收 


7.1 合并 分 类 吸收 表 
SCMP 通过 八 个 分 类 , 可 以 完整 吸收 卡巴 斯 基 等 精准 分 类 命名 厂商 的 现 有 分 
类 和 一 级 前 级 ， 具体 表格 如 下 。 


表 4 SCMP 分 类 吸收 表 


SCMP 分 类 类 别 吸收 的 三 商 分 类 和 一 级 前 绥 


感染 式 病 毒 (Virus) 。 Kaspersky: 感染 式 病毒 (Virus) 
Mirosoft: 宏 病 毒 (Macro virus ) 


蠕虫 《Worm) 。  ” Kaspersky: 蠕虫 (Worm) 电子 邮件 蠕虫 (Email-Worm) 、 即 
时 消息 蠕虫 (IM-Worm) 、 网 络 蠕虫 CNet-Worm) 、 对 点 文件 共享 
网 络 (P2P-Worm) 


特洛伊 木马 (Trojan) ， Kaspersky: 特洛伊 木马 〈Trojan) 、 勒 索 型 木马 
(Trojan-Ransom) 、 后 门 (Backdoor) 、 内 核 套件 
(Trojan-Rootkit) 、 网 银 木 马 (Trojan-Banker) 、 流 量 动 持 木 
马 (Trojan-Clicker) 、 下 载 者 木马 〈Trojan-Downloader ) 、 释 
放 器 木马 (Trojan-Dropper) 、 包 衷 炸弹 (Trojan-ArcBomb) 、 
间谍 木马 (Trojan-Spy) 、 拒 绝 服务 攻击 木马 〈Trojan-DDoS) 、 
僵尸 网 络 木 马 〈Trojan-Botnet ) 、 控 矿 木 马 〈Trojan-Miner) 、 
代理 型 木马 〈Trojan-Proxy) 、 拨 号 型 木马 (Trojan-Dailer) 、 
键盘 记录 器 (Trojan-Keylogger) 、 盗 号 木马 〈Trojan-PWS ) 等 、 
仿冒 杀 软 (Trojan-FakeAV) 
。 Bitdefender: 特洛伊 木马 (Trojan) 、 漏 洞 利用 (Exploit)、 
键盘 记录 器 (Keylogger)、 后 门 (Backdoor )、 下 载 器 (Downloader) 


。 McAfee: 特洛伊 木马 〈Trojan) 、 密 码 窃 取 (PWS) 
。 Symantec: 特洛伊 木马 〈Trojan) 、 后 门 〈Backdoor ) 、 挖 


分 3 对 


(Trojan-Clicker) 、 远 程 


矿 (Miner) 、 下 载 器 (Downloader ) 、 勤 索 软 件 (Ransom) 

。 ”Mirosoft: 特洛伊 木马 (Trojan) 、 勒 索 软 件 (Ransomware )、 
漏洞 利用 (Exploit) 、 后 门 (Backdoor ) 、 下 载 器 (Downloader)、 
释放 器 〈Dropper) 流氓 安全 软件 〈Rogue securi 
密码 窃取 器 (Password stealer) 、 流 量 


ty Software) 、 


动 持 木马 
空 制程 序 (Command and Control) 


黑客 工具 (HackTool) 。 Kaspersky: 黑客 工具 (Hacktool1) 、 生 成 器 (Constructor) 、 
病毒 工具 (VirToo1) 
。 Mirosoft: 黑客 工具 (Hacktool) 、 混 消 器 (0bfuscator) 、 
病毒 工具 〈VirTool) 

灰色 软件 (Grayware) 。 Kaspersky: 广 告 件 (Adware) 、 色 情 软 件 (Pornware) 


。 “ Bitdefender: 间谍 软件 (Spyware)、 色 和 情 软 件 (Porn) 、 广 


告 件 (Adware) 

。 ”McAfee: 潜在 
。 Mirosoft: 淤 
。 ”AVG: 潜在 有 害 程序 (PUP) 


了 害 程序 (PUP) 


在 有 害 应 用 程序 (PUA) 


风险 软件 (Riskware) 


。 Kaspersky: RemoteAdmi 


n 《远程 管理 软件 ) 、 监 控 程序 


(Monitor) 、 网 络 工 具 (CNetTool) 、 风 险工 具 (CRiskTool ) 
。 ”Mirosoft: 远程 管理 软件 (RemoteAccess) 


测试 文件 (TestFile) 


。  ” Kaspersky: EICAR 测试 文件 (EICAR-Test-File) 
。 Bitdefender: EICAR 测试 文件 (EICAR-Test-File) 


垃圾 文件 (JunkFile) 


。 ”其 他 厂商 未 覆盖 


7.2 


码 的 相关 认 知 误区 进行 澄清 。 

当前 关于 恶意 代码 的 基本 分 类 存在 一 些 误区 ， 究 其 原因 ， 既 有 对 恶意 代码 

认 知 的 不 充分 , 也 有 翻译 问题 以 及 历史 工程 因素 。 下 文 将 介绍 几 个 常见 的 分 类 误 

区 ， 并 阐述 其 为 何不 符合 科学 性 。 
(1) Backdoor (后 门 程序 ) 


在 计算 机 病毒 分 类 命名 体系 中 ， 


一 些 典 型 分 类 被 吸收 情况 的 说 明 与 相关 认 知 误区 的 河清 


SCMP 由 于 大 量 减少 了 恶意 代码 分 类 数量 , 我 们 需要 针对 一 些 典 型 的 恶意 代 


“Backdoor” 一 词 首 见 于 2000 年 前 后 ， 


最 早 被 标记 为 Backdoor 的 恶意 代码 是 由 死 牛 染 拜 (The Cult of the Dead Cow) 


组 织 发 布 的 远程 控 人 


偷 ”、“ 冰 河 ” 等 


类 前 级 实际 并 不 是 指 在 软件 中 存在 的 代码 缺陷 , 而 是 EF 


判 工具 ， 后 续 与 之 相 类 似 的 远程 控制 的 恶 


都 被 主流 杀毒 厂商 标记 为 后 门 。 可 见 ， 


意 代 码 如 “网 络 神 
“Backdoor ”这 一 分 


昌 于 最 早 的 控制 工具 使 用 的 


是 Back Orifice， 使 其 成 为 了 一 个 能 够 直接 访问 整个 系统 的 后 门 。 随 着 后 来 相 


关 的 恶意 代码 穿 透 内 网 、 远 程 管理 技术 的 升级 , 相关 样本 依然 被 命名 为 后 门 ,“ 后 


门 程序 ”对 


一 定义 的 实际 内 肖 


是 指 那些 具有 远程 控制 能 力 的 木马 。 


因此 ， 在 SCMP 分 类 命名 法 中 ， 此 类 恶意 代码 统一 被 归 类 为 “木马 ”， 


而 “Backdoor” 则 作为 最 高 风险 级 别 之 一 的 标签 出 现 ， 并 不 


(2) Spyware (间谍 软件 ) 


影响 信息 揭示 度 。 


在 国内 外 的 一 些 文献 中 ，“Spyware” 被 解读 为 : “具有 间谍 活动 能 
的 恶意 代码 ”， 事 实 上 这 种 解读 是 望 文生 义 的 ， 并 不 符合 该 词语 的 原始 内 涵 。 反 
病毒 工作 者 最 早 提出 “Spyware” 的 时 代 背 景 为 互联 网 客户 端的 大 规模 盛行 ， 一 
些 插件 在 未 经 用 户 同 意 的 情况 下 ， 安 装 到 用 户 的 开机 目录 下 ,成 为 隐蔽 运行 的 默 
认 插 件 。“Spy” 传 达 的 是 软件 程序 的 “静默 进入 ”这 一 安装 特点 ， 而 非 “信息 
窃取 ”这 种 威胁 行为 ， 后 期 对 间谍 软件 的 解读 ， 事 实 上 都 是 一 种 误 读 。 

因此 ， 在 SCMP 分 类 命名 法 中 ， 此 类 恶意 代码 被 归 类 为 “Grayware”， 
而 “Spy-Install” 则 作为 一 种 恶意 代码 的 行为 标签 ， 并 不 影响 信息 揭示 度 。 对 
于 明确 有 敏感 和 关键 信息 窃取 行为 的 恶意 代码 ， 可 酌情 划 入 “Trojan” 类 别 。 

(3) Botnet (僵尸 网 络 ) 

在 一 部 分 后 发 的 检测 软件 的 命名 中 出 现 了 类 似 Botnet 这 样 的 分 类 ， 但 
僵尸 网 络 并 不 是 一 个 样本 概念 , 一 定 程 度 上 包含 了 样本 运用 和 组 织 方 式 ， 如果 将 
其 作为 一 种 类 别 , 就 是 恶意 代码 的 分 类 体系 上 引入 了 一 个 新 的 分 类 维度 , 这 显然 
违背 了 恶意 代码 分 类 的 基本 原则 ， 事 实 上 是 对 分 类 标准 的 干扰 。 

从 病毒 样本 的 角度 来 看 , 僵尸 网 络 运 行 在 受害 端的 程序 和 具有 远 控 能 
的 木马 的 机 理 是 一 致 的 , 差异 点 仅 在 于 前 者 按 指令 进行 自动 化 控制 的 能 力 相 对 更 
强 。 


因此 ,在 SCMP 分 类 命名 法 中 ， 此 类 恶意 代码 统一 被 归 类 为 “Trojan”， 
而 “Botnet” 则 作为 高 风险 级 别 的 标签 出 现 ， 并 不 影响 信息 揭示 度 。 
(4) Adware (广告 软件 ) 、Pornware (色情 软件 ) 、Rogue (流氓 软件 ) 
广告 软件 和 色情 软件 也 曾 被 部 分 杀毒 软件 当成 独立 分 类 , 但 由 于 基于 互 
联网 的 灰 、 黑 产 其 实 是 联合 运营 体系 ; 在 广告 软件 所 弹 窗 的 内 容 中 也 往往 有 大 量 
的 色情 文件 ， 导 致 这 两 类 很 难 形成 明确 的 区 分 度 。 二 者 的 本 质 都 是 通过 特定 内 容 
吸引 用 户 的 注意 力 ， 引 导 用 户 点 击 、 下 载 ,方便 进一步 开展 后 续 的 非法 信息 收集 
等 侵害 活动 。 流氓 软件 是 未 经 用 户 明确 授权 或 知情 的 情况 下 , 在 计算 机 或 移动 设 
备 上 安装 。 流 氓 软件 、 广 告 软件 和 色情 软件 通常 都 是 通过 捆绑 在 其 他 软件 、 下 载 
器 或 共享 软件 中 ， 或 者 通过 欺骗 性 的 下 载 链接 、 钓 鱼 邮 件 等 方式 传播 。 流 氓 软件 
和 广告 软件 这 两 种 软件 虽然 都 可 能 对 用 户 造成 不 便 , 但 它们 一 般 不 会 对 系统 或 数 
据 造 成 直接 破坏 或 危害 。 
因此 , 在 SCMP 分 类 命名 法 中 , 此 类 和 恶意 代码 统一 被 归 类 为 “Grayware”， 
而 “Ad、Porn” 则 作为 高 风险 级 别 的 标签 出 现 ， 并 不 影响 信息 揭示 度 。 
(5) Ransomware (勒索 软件 ) 
毫 无 疑问 ， 勒 索 软 件 是 当前 最 严重 的 安全 威胁 ， 对 流行 的 勒索 软件 进行 
告警 和 处 置 非 常 重要 ， 但 这 并 不 意味 着 “勒索 软件 ”适合 成 为 一 个 独立 的 恶意 代 
码 基 础 分 类 。 因 为 无 论 勒 索 软 件 采 用 的 是 何 种 工作 机 理 和 模式 , 在 本 质 上 都 没有 
逃逸 出 对 “木马 ”的 定义 。 
因此 , 在 SCMP 分 类 命名 法 中 ， 此 类 恶意 代码 统一 被 归 类 为 “Trojan”， 
但 “Ransom” 则 作为 最 高 风险 级 别 的 行为 标签 出 现 ， 并 不 影响 信息 揭示 度 。 
(6) 关于 构造 器 (Constructor) 和 混淆 器 (0bfuscator) 
病毒 生产 机 本 身 是 一 个 比较 古老 的 概念 ， 其 整体 上 还 是 在 DOS 下 可 执行 
文件 (如 COM 文件) 没有 文件 格式 规范 、DOSM2 也 没有 严格 的 格式 验证 的 背景 下 ， 
基于 相关 的 功能 模块 组 合 及 混淆 操作 来 生成 病毒 样本 。 与 此 同时 ,由 于 感染 式 病 
毒 本 身 代码 段 并 不 是 独立 的 可 执行 程序 , 因此 对 编写 者 来 说 , 想 达 成 初始 的 感染 ， 
就 要 先 构 造 窒 主 ， 因 此 才 出 现 了 构造 器 的 概念 。 


由 | 


可 见 ， 构 造 器 是 一 个 DOS 时 代 的 早期 概念 ， 引 入 当前 环境 场景 中 的 意义 已 经 

不 是 很 大 。 与 之 类 似 , 一 些 模块 化 木马 有 其 定制 加 工 的 配置 界面 , 但 其 配置 器 本 
身 可 以 按照 前 文 的 定义 划分 到 “黑客 工具 ”类 别 ， 也 可 以 基于 “与 投放 物 配套 ” 
的 原则 ， 划 分 入 木马 分 类 。 
混淆 器 概念 是 在 DOS 时 代 变 形 引 警 的 时 代 出 现 ,其 核心 机 理 是 实现 变形 引擎 
与 病毒 载荷 的 融合 ， 从 而 使 没有 进行 相关 的 混淆 、 变 形 的 样本 ,在 结合 了 变形 引 
擎 之 后 具有 变 形 能 力 。 在 恶意 代码 形态 从 感染 式 病毒 主导 演变 为 独立 式 、 甚 至 固 
件 式 为 主导 的 情况 下 ， 事 实 上 只 有 样本 加 壳 概 念 ， 而 不 再 有 作为 恶意 代码 的 混 请 
器 的 概念 。 
由 于 大 部 分 加 壳 工 具 服 务 于 版 权 保护 场景 ， 只 有 在 特定 攻击 场景 中 ， 才 会 被 
作为 逃逸 检测 的 行为 特征 , 如果 简 草率 地 报警 壳 , 则 会 对 正常 应 用 软件 产生 误 报 。 
目前 反 病 毒 厂 商会 对 一 些 仅 在 攻击 场景 中 使 用 的 地 下 壳 进 行 报警 , 但 其 告警 往往 

是 以 可 命名 的 方式 的 事件 提示 信息 出 现 〈 而 非 告警 信息 ) ， 以 示 谨 慎 。 从 整体 性 
上 来 看 ， 所 有 主流 杀毒 产 mt 单独 告警 ， 因 此 ， 已 经 不 适宜 将 混淆 器 
作为 一 个 恶意 代码 的 分 类 类 别 。 


8 最 终 的 效果 和 实践 应 用 


我 们 将 整体 应 用 “类 别 ”/“ 环 境 前 级 ”、“ 家 族 名 ”、“ 恋 种 号 ”、[ 行 为 
标签 ] 作 为 恶意 代码 分 类 框架 。 以 如 下 样本 信息 命名 为 例 : 
Trojan/Win32. | 。 在 实际 的 安全 业务 中 , 我 们 既 能 明确 地 看 到 这 是 
一 个 运行 于 凡 ndows32 位 平台 的 特洛伊 木马 , 也 能 看 到 其 核心 风险 行为 是 进行 勒 
索 攻 击 。 而 在 自动 化 预警 通报 中 ， 基 于 对 这 个 字符 串 的 结构 解析 ， 则 可 以 转化 为 
“类 似 勒 索 风 险 预 警 ， 警 惕 Akira 木马 ”的 安全 通告 内 容 。 
8.1 科学 分 类 方式 对 网 络 安全 管理 运营 的 意义 

网 络 安全 管理 运营 工作 需要 科学 清晰 的 恶意 代码 分 类 标准 和 命名 规范 。 恶 
意 代码 样本 是 海量 的 、 其 分 布 是 长 尾 的 , 绝 大 多 数 用 户 已 经 不 具备 自己 单独 分 析 
恶意 代码 的 能 力 , 在 精准 识别 和 细 粒 度 处 理 方面 必须 依赖 于 安全 产品 。 安 全 产品 
对 恶意 代码 精准 命名 和 明确 区 分 恶意 代码 分 类 的 能 力 , 与 网 络 安 全 管理 运营 者 需 
要 考虑 的 运营 问题 以 及 如 何 构建 对 应 的 基础 运行 处 置 流 程 之 间 存 在 关联 。 
SCMP 恶意 代码 分 类 方式 能 够 提供 更 准确 和 具有 更 高 信息 揭示 度 的 恶意 代 

码 信 息 ， 支撑 网 络 安全 管理 运营 者 进行 威胁 识别 、 风 险 评估 、 安全 策略 制定 、 安 
全 事件 响应 和 处 置 流程 构建 ,将 有 限 精 力 聚 焦 于 几 个 确定 性 的 处 理 流程 ， 从 而 提 
升 运营 处 置 效果 和 效率 。 
基于 分 类 标准 的 几 个 区 分 度 来 看 ， 如 果 发 现 感 染 式 病毒 (Virus) 、 蜂 虫 
(Worm) 两 种 具有 主动 传播 能 力 的 告警 事件 ， 说 明 用 户 可 能 缺失 基本 的 安全 合 规 

能 力 , 或 者 没有 遵守 基本 的 安全 基线 ; 如 果 发 现 特洛伊 木马 (Trojan ) 告警 事件 ， 
则 需要 针对 性 分 析 处 置 ， 如 果 发 现 黑客 工具 (HackTool) ,说明 主机 可 能 成 为 跳 
板 或 被 用 来 发 起 横 癌 移动 、 窍 取 敏感 信息 或 友 起 进一步 的 攻击 , 但 也 可 能 是 内 部 
的 红 队 (Red Team) 工具 ; 如 果 发 现 灰 色 软 件 (Grayware ) ， 说 明 存 在 弱 信 息 泄 
露 侵害 , 或 治理 能 力 需 要 提升 , 但 亦 可 选择 搁置 ; 如 果 发 现 风险 软件 (Riskware )， 
则 需要 排查 是 否 是 网 管 人 员 主 动 安装 使 用 ,如 果 是 则 需要 添加 白 名 单 ， 如 果 不 是 
则 可 能 转 入 到 Trojan 的 处 置 流程 ， 网 络 管理 者 可 以 用 垃圾 文件 (JunkFile) 告 
警 判断 样本 集合 的 质量 ， 同 时 JunkFile 也 可 以 用 来 降低 用 户 的 荡 懂 感 ， 而 测试 
文件 〈TestFile) ， 除 非 用 户主 动 部 署 ， 否 则 一 般 不 会 出 现 ， 如 果 在 用 户 系统 内 


发 现 了 TestFile， 则 需要 排查 是 不 是 攻击 者 构造 的 伪装 测试 文件 。 这 样 再 辅 以 
核心 行为 标签 ， 就 能 把 海量 恶意 代码 的 处 置 收敛 到 几 个 确定 性 的 流程 中 。 


表 5 恶意 代码 类 别 所 关联 的 运营 动作 


基线 检 ， 问 询 ”样本 分 关注 后 猎 杀 清 ”配置 更 忽略 


查 与 加 析 续 行为 除 新 
固 
病毒 (Virus) * NA V NA V 
蠕虫 (Worm ) * NA V NA * V = 
特洛伊 木马 (Trojan) V NA V V ~ 
黑客 工具 (HackTool) 以 尝 y x 以 V/ V 
灰色 软件 (Grayware ) V NA NA NA V V V 
风险 软件 (Riskware ) V * NA NA NA V V 
测试 文件 〈TestFile ) NA * V NA NA NA V 
垃圾 文件 (JunkFile) ”NA NA NA NA V NA V 


# 建 议 采 取 ”v 酌情 采取 -不 建议 采取 ”NA 不 相关 


2.2 实践 应 用 

上 述 的 分 类 命名 的 基本 原则 已 经 在 安 天 AVL SDK 反 病 毒 引 警 客户 中 实际 工 
程 化 应 用 实践 ， 有 近 100 家 合作 伙伴 使 用 了 我 们 的 检测 引擎 , 根据 我 们 不 完全 统 
计 ， 超 过 了 130 万 台 网 络 设备 和 网 络 安全 设备 、 超 过 200 万 个 PC 和 云 节点 和 起 
过 30 亿 部 手机 和 智能 终端 使 用 了 这 一 反 病 毒 引 擎 。 

与 此 同时 ， 我 们 依托 这 一 命名 结构 的 严谨 互 斥 性 ， 基 于 大 量 恶意 代 码 数 据 
分 析 据 ， 并 在 大 模型 的 辅助 下 构建 计算 机 病毒 分 类 命名 知识 百科 ， 和 截至 2023 年 
底 ， 实 现 收录 病毒 家 族 词 条 53, 000 余 条 ， 分 类 命名 对 已 知 恶意 代码 家 族 覆 盖 率 
达到 100%， 目 前 进入 日 增 量 家 族 维护 状态 。 

除了 我 们 自身 的 安全 实践 外 ， 基 于 这 和 套 分 类 命名 结构 基本 能 无 损 吸 收 其 他 
主流 安全 厂商 的 所 有 分 类 和 命名 信息 , 其 可 以 支撑 应 急 响 应 组 织 的 尝试 统一 告警 
格式 与 风格 的 实践 。 

当然 面 对 持续 膨胀 的 安全 威胁 和 不 断 丰 富 的 攻击 样式 。 防 御 者 难免 陷入 艰 
难 和 迷 司 。 但 代码 对 抗 依然 是 网 络 空 间 对 抗 最 基本 的 模式 ; 恶意 代码 依然 是 绝 大 
多 数 网 络 攻击 活动 中 的 攻击 武器 , 能 有 效 识别 并 遏制 恶意 代码 对 防御 者 来 说 就 更 
为 关键 。 可 以 说 , 恶意 代码 的 检测 已 经 成 为 网 络 空间 对 抗 中 的 “敌我 识别 ”能 
而 我 们 所 做 的 是 尽 可 能 的 让 我 们 的 精确 分 类 检测 和 标识 能 力 尽 可 能 多 禾 盖 的 攻 
击 者 的 “攻击 武器 ”。 
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